Od botnetów do phishingu – przegląd zagrożeń w 2020 roku

Wielu firmom trudno jest przeznaczyć niemałe środki wystarczające na wdrożenie skutecznych rozwiązań ochronnych, ponieważ borykają się z problemami operacyjnymi spowodowanymi nagłym przejściem na model pracy zdalnej. Tymczasem wciąż obfite żniwa zbiera szyfrujące dane i wymuszające okup oprogramowanie ransomware, zaś do jego instalacji i aktywacji innych ataków cyberprzestępcy nadal z powodzeniem stosują socjotechnikę.

W związku z intensyfikacją działań cyberprzestępców na znaczeniu zyskuje posiadanie możliwej do zastosowania w praktyce wiedzy o cyberzagrożeniach. Eksperci z firmy Fortinet przygotowali zestawienie najważniejszych z nich.

Domowe urządzenia jako brama do sieci firmy

W przeszłości zespoły ds. bezpieczeństwa koncentrowały się przede wszystkim na ochronie przed wyciekiem danych użytkowników przechowywanych w firmowym środowisku IT, a także zabezpieczeniu aplikacji i sieci przed niepowołanym dostępem.

– Pandemia zmieniła to, a w czasie jej trwania nastąpił gwałtowny wzrost wykorzystania Internetu rzeczy oraz uzależnienia możliwości wykonywania pracy od sieci domowych i urządzeń klasy konsumenckiej, takich jak routery i modemy. Cyberprzestępcy szybko zwrócili na to uwagę – mówi Aamir Lakhani, główny analityk w FortiGuard Labs firmy Fortinet.

Gwałtowne przejście na pracę zdalną sprawiło także, że konieczne stało się zwracanie większej uwagi na bezpieczeństwo urządzeń osobistych (smartfonów, tabletów czy laptopów) wykorzystywanych do łączności z siecią firmową. Dla przestępców stworzyły one wyjątkową szansę na zdobycie przyczółka w sieciach firmowych lub przynajmniej w sprzęcie łączącym się z tymi sieciami. Urządzenia prywatne mogą służyć np. do tworzenia dużych botnetów, następnie wykorzystywanych do przeprowadzania ataków typu DDoS (polegających na próbie uzyskania równoczesnego zdalnego dostępu do usługi z tysięcy komputerów, co skutkuje jej zablokowaniem) lub dystrybucji złośliwego oprogramowania skierowanego przeciwko przedsiębiorstwom.

Atakujący nie tylko coraz lepiej rozumieją niuanse techniczne, ale także mają dostęp do zaawansowanych narzędzi. Sprawia to, że ochrona rozproszonych zasobów przedsiębiorstwa stała się trudniejsza niż kiedykolwiek wcześniej. Na przykład, dzięki zastosowaniu sztucznej inteligencji i uczenia maszynowego cyberprzestępcy w pełni wykorzystują dostępne możliwości ataku i skutecznie omijają tradycyjne zabezpieczenia. Ze względu na postęp, jaki dokonał się w zakresie metod i technik ataków, zespoły IT starają się obecnie nie tylko reagować na podejrzane sytuacje, ale także nie dopuścić do zaatakowania wykorzystywanych w domu urządzeń Internetu rzeczy za pomocą ransomware’u czy phishingu.

Coraz bardziej wyrafinowane metody ataków

Ataki z wykorzystaniem oprogramowania ransomware zawsze stanowiły istotny problem dla przedsiębiorstw. W ciągu ostatnich kilku miesięcy stały się one jeszcze powszechniejsze i coraz bardziej kosztowne – zarówno pod względem czasu wstrzymania działalności zaatakowanej firmy, jak i wyrządzonych szkód. Dlaczego zatem zagrożenie tego rodzaju – od tak dawna popularne i skuteczne – ostatnio stało się jeszcze większym problemem?

– Ransomware jest teraz jeszcze łatwiej dostępny dla przestępców za pośrednictwem czarnego rynku w sieci Darknet. Pojawiły się też nowe metody dystrybucji. Ransomware-as-a-service zaczął być dostępny jako usługa, niedroga i stosunkowo łatwa do wdrożenia – tłumaczy Aamir Lakhani.

Oprogramowanie ransomware jest wykrywane np. w załączonych do phishingowych maili dokumentach związanych z COVID-19. Do tej kategorii należą np. takie złośliwe narzędzia jak NetWalker, Ransomware-GVZ i szczególnie niebezpieczny CoViper.

Pod koniec pierwszego półrocza br. pojawiło się również kilka doniesień o prawdopodobnie powiązanych ze strukturami rządowymi różnych krajów grupach przestępczych atakujących placówki zaangażowane w badania związane z COVID-19 w Stanach Zjednoczonych i innych państwach. Hakerzy przenosili poufne dane na serwery publiczne i grozili ich upublicznieniem, jeśli nie zostanie zapłacony okup.

– Jest to działanie, które zabezpiecza cyberprzestępców na wypadek, gdyby ofiary, zamiast poddać się żądaniom, próbowały samodzielnie odzyskać swoje dane np. z backupu – wyjaśnia ekspert Fortinet.

W miarę jak zagrożenia ewoluują, osoby odpowiedzialne za bezpieczeństwo muszą zapewnić sobie dostęp do gromadzonych w czasie rzeczywistym informacji o zagrożeniach. Obejmuje to również śledzenie na bieżąco narzędzi wykorzystywanych przez cyberprzestępców, np. w mediach społecznościowych oraz w Darknecie. Firmom ponadto zaleca się obecnie, aby wszystkie dane były zaszyfrowane na nośnikach oraz podczas ich transmisji przez sieć.

Phishing rozwija się dzięki uczeniu maszynowemu

W ramach oszustw phishingowych zazwyczaj wykorzystywane są działania socjotechniczne do wykradania informacji niczego niepodejrzewającym użytkownikom. Ofiara jest zachęcana do kliknięcia w link lub pobrania załącznika, który zawiera złośliwe oprogramowanie albo wymusza jego instalację.

W przeszłości wiele ataków phishingowych było bardzo prostych i łatwo było im zapobiec. Ostatnio jednak są znacznie bardziej wyrafinowane, bowiem ewoluowały w stronę atakowania najsłabszych ogniw znajdujących się na brzegu sieci biznesowych. Pracownicy w większości firm są obecnie lepiej poinformowani o zagrożeniach pochodzących z poczty elektronicznej i są ostrożniejsi wobec podejrzanych e-maili. Cyberprzestępcy zaczęli więc atakować niezabezpieczone sieci domowe i pracowników zdalnych, którym często brakowało niezbędnego przeszkolenia w zakresie cyberhigieny.

Większość ataków phishingowych bazuje na wykorzystywaniu złośliwego oprogramowania, takiego jak ransomware, wirusy i trojany zdalnego dostępu (Remote Access Trojan), które dają przestępcom zdalny dostęp do urządzeń końcowych i umożliwiają uruchomienie aplikacji wykorzystujących protokół RDP (Remote Desktop Protocol).

Ponadto, wielu hakerów wykorzystuje uczenie maszynowe do szybkiego tworzenia, testowania i rozpowszechniania złośliwych maili, które wywołują u odbiorców niepokój i nerwowe reakcje. Mogą oni analizować skuteczność różnych wersji zawartego w wiadomości tekstu i modyfikować je, aby maksymalizować zyski.

Kluczowe przeglądarki

Specjaliści ds. bezpieczeństwa powinni też zwrócić uwagę na fakt, że do 2020 r. to przeglądarki internetowe były kluczowym narzędziem wykorzystywanym do dostarczania złośliwego oprogramowania i trend ten prawdopodobnie utrzyma się. W związku z przejściem na pracę zdalną obserwowany jest spadek ruchu w sieciach korporacyjnych oraz wzrost ruchu w sieciach domowych. Z tego powodu menedżerowie przedsiębiorstw muszą nie tylko zapewnić zdalnym pracownikom szkolenia niezbędne do zabezpieczenia ich sieci osobistych i biznesowych, ale także wyposażyć ich w dodatkowe narzędzia, które pomogą wykryć i powstrzymać zaawansowane zagrożenia.

- Skuteczna ochrona cyberprzestrzeni wymaga ciągłej czujności i zdolności dostosowywania się do zmieniających się zagrożeń. Bezpieczeństwo na stałe powinno być traktowane priorytetowo, a teraz nadszedł czas, aby rozważyć inwestycje w szersze, bardziej zaawansowane i bardziej elastyczne rozwiązania – wskazuje Aamir Lakhani. – Mając to na uwadze, koncentracja na ochronie sieci pracowników zdalnych powinna znaleźć się na szczycie listy rzeczy do zrobienia.